Chính sách Công bố Lỗ hổng — ScamLens

Phạm vi

Chính sách này bao gồm các nghiên cứu bảo mật được thực hiện đối với các tài sản sau:

• *.scamlens.org
• Tiện ích Chrome ScamLens (Chrome Web Store ID: OrangeDuck)
• API công khai ScamLens (api.scamlens.org)

Các dịch vụ bên thứ ba (Stripe, Google Auth, Cloudflare, Brevo, Resend) nằm ngoài phạm vi — vui lòng báo cáo trực tiếp cho các nhà cung cấp đó.

Vùng an toàn

Chúng tôi sẽ không khởi kiện các nhà nghiên cứu:

• Hành động thiện chí và tuân thủ chính sách này
• Không truy cập, sửa đổi hay đánh cắp dữ liệu vượt quá mức cần thiết để chứng minh lỗ hổng
• Không làm gián đoạn dịch vụ hoặc làm giảm trải nghiệm người dùng
• Báo cáo kịp thời và giữ bí mật cho đến khi khắc phục xong

Ngoài phạm vi

• Tấn công từ chối dịch vụ / kiểm tra tải đối với môi trường production
• Tấn công social engineering đối với nhân viên hoặc người dùng
• Tấn công vật lý
• Báo cáo từ các trình quét tự động mà không có tác động đã xác nhận
• Self-XSS và clickjacking trên các trang không có trạng thái nhạy cảm
• Thiếu các header best-practice trên tài nguyên tĩnh (đã được theo dõi nội bộ)

Cách báo cáo

Gửi email tới security@scamlens.org kèm theo:

1. Tiêu đề và tài sản bị ảnh hưởng
2. Các bước tái tạo (rõ ràng, tối thiểu)
3. Phân tích tác động (kẻ tấn công có thể đạt được gì)
4. Đề xuất khắc phục (tùy chọn)

Chúng tôi xác nhận trong vòng 48 giờ. Mục tiêu khắc phục: Critical 7 ngày, High 14 ngày, Medium 30 ngày, Low theo khả năng.

Ghi nhận

Các báo cáo đã được xác minh sẽ được ghi nhận trên trang Lời cảm ơn bảo mật bằng tên bạn ưa thích (hoặc ẩn danh theo yêu cầu).